Специалисты по обеспечению информационной и программной безопасности систем
Автор статьи:
Гончаров Андрей Михайлович
Юрист в области информационной безопасностиСпециалист по IT-безопасности – кто он?
Специалисты по ИБ являются основным эшелоном защиты Компании от воздействия вредоносного кода, несанкционированного доступа в информационную инфраструктуру, а также преступных посягательств посредством социальной инженерии и иных методов воздействия на сотрудников Компании.
Сотрудники службы информационной безопасности могут иметь разные специализации, такие как:
- специалист в юридическом направлении информационной безопасности обладает навыками правового анализа «свежих» нормативных актов Центрального Банка, Минкомсвязи и иных регуляторов в области информационной безопасности. Такие специалисты являются ценным кадровым ресурсом из-за опыта применения различных нормативных актов регулятора «на практике».
- специалист организационного направления в информационной безопасности обладает навыками построения системы обеспечения информационной безопасности: построение режимной системы контроля физического доступа, система повышения осведомленности персонала в вопросах информационной безопасности и т.д.
- технический специалист по информационной безопасности обладает обширными познаниями в направлении применения технических средств защиты информации. Обладает богатым опытом в настройке, оптимальному расположению и общей эксплуатации технических средств защиты информации, таких как: антивирусное ПО, межсетевые экраны, сканеры уязвимостей, DLP-система, SIEM-система, MDM, гипервизор.
Специалист по обеспечению информационной безопасности (ИБ) в законодательстве
За основной нормативный документ, аккумулирующий требования к “ИБшникам” можно взять приказ Министерства труда и социальной защиты РФ г. № 522н “Об утверждении профессионального стандарта “Специалист по защите информации в автоматизированных системах” который был опубликован 15 сентября 2016.
Из содержания данного нормативного документа можно сформировать перечень трудовых функций:
- Настройку и внедрение систем защиты информации в информационной инфраструктуре Организации;
- Обеспечение защиты информации в автоматизированных системах в процессе их эксплуатации;
- Внедрение систем защиты информации автоматизированных систем;
- Разработка систем защиты информации автоматизированных систем;
- Формирование требований к защите информации в автоматизированных системах.
В свое время, вышеуказанный документ разделяет трудовые функции по уровню квалификации, а также требованиям к кандидатам.
Из вышеперечисленных функций их можно сгруппировать:
- Технический специалист по ИБ (пентест) основная функция – исследование безопасности веб-сайтов, мобильных приложений, программных платформ и информационной инфраструктуры в целом, а также рекомендации по совершенствованию защиты информации. Такой специалист обладает знаниями, навыками и опытом, чтобы занимать должность специалиста по интернет безопасности;
- Технический специалист по ИБ (безопасная разработка) – поиск уязвимостей в коде проектов, написанных на разных языках программирования, определение типовых ошибок кода, использование статического и динамического анализа кода, владение разных инструментов и способность выступать в качестве эксперта для команды разработки;
- Специалист по ИБ широкого профиля – специалист высокой квалификации, который профессионально владеет навыками по построению системы защиты информации, в направлении выбора и применения организационных мер защиты информации, начиная с применения на практике международных практик, таких как ISO/IEC 27000, заканчивая умением грамотно разработать модель угроз/модель нарушителя. Владеет навыками анализа нормативных актов как отечественных, так и международных.
Также специалист широкого профиля имеет большой практический опыт в применении технических мер защиты информации в различных направлениях (например, антивирусные средства, СКЗИ, SIEM, DLP), производит активный обмен опытом с коллегами. Данные специалисты обладают навыками проведения аудитов, как внешних, так и внутренних, а также могут дать профессиональную консультацию в области ИБ. Такие специалисты могут занимать как должность руководителя службы ИБ, так и должность аудитора в направлении ИБ.
Специалист по обеспечению программной безопасности – ибешник он или нет?
Отдельный класс специалистов по обеспечению информационной безопасности – ответственные за программную безопасность. Под программной безопасностью можно понимать два принципиально разных направления:
- Безопасность приложения
- Безопасность разработки приложения.
И то, и другое, включает комплекс техническим и организационных мероприятий. Специалист по безопасности здесь – не программист, и даже не тестировщик. Он должен разработать документацию, такую как Задание по безопасности, Требования по безопасной установке и прочее, а также проверить соответствие разработанного продукта и/или процесса разработки требованиям документации. С технической стороны проверке подлежит исходный код (статическое, динамическое тестирование) и пентест готового приложения. Есть и нормативные требования в данной тематике, например ГОСТ 15408.
В совокупности эти компетенции сочетает в себе хороший ибешник, просто работающий в данной сфере.
Каким же должен быть специалист по защите информационных технологий. Требования к кандидату
На основании вышеизложенного можно сделать выводы, что специалист по обеспечению информационной и программной безопасности должен иметь соответствующее высшее образование, обладать навыками: по поиску уязвимостей, построению систем защиты информации, по исследованию безопасности веб-сайтов, мобильных приложений, программных платформ и информационной инфраструктуры, анализа нормативных актов, проведения аудитов, как внешних, так и внутренних.
Также специалист по информационной безопасности, должен проходить соответствующие курсы повышения квалификации и иметь соответствующие сертификаты.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram